windows安全检查

1、系统信息编号：Win dows-01002名称：获得主机IP地址和子网掩码说明：获得主机IP地址、子网掩码、网关、DNS服务器、Wins服务器等信息检查方法：ipc onfig /all编号：Windows-01003名称：服务器是否安装多系统说明：多系统无法保障文件系统的安全检查方法：Type C:boot. ini检查风险(对系统的影响，请具体描述)：无结果分析方法：C:type boot.i niboot loadertimeout=30default=multi(0)disk(0)rdisk(0)partitio n( 1)WIND0WSoperati ng systemsmulti(

2、0)disk(0)rdisk(0)partitio n(1)WINDOWS=Wi ndowsServer 2003, Sta ndard/fastdetect从operating systems”字段可以查到允许启动的系统列表适用版本:编号：Windows-01004名称：查看主机路由信息j说明：获得主机的路由信息检查方法：Route pri nt检查风险（对系统的影响，请具体描述）：无结果分析方法：C:route pri ntIPv4 Route TableIn terface List0 x1 .MS TCP Loopback in terface0 x10003 .00 02 a5 b4

3、 c8 e6 Intel(R) PRO/100 VM Network ConnectionActive Routes: Network Desti nati on -NetmaskGatewayIn terface Metric 54120111201 5520192

4、.168.10.255 551120112055 55111Default Gateway: 54Persiste nt Routes:No ne适用版本：All备注：补丁安装情况编号：Windows-02001名称：检查系统安装的补丁以及Hotfix说明：检查当前主机所安装的Service Pack 以及Hotfi

5、x检查方法：Ps info检查风险(对系统的影响，请具体描述)：无结果分析方法：C:psinfoPsInfo v1.11 - local and remote system information viewerCopyright (C) 2001 Mark RussinovichSysinternals - System information for WHEAVEN:Kernel version:Microsoft Windows Server 2003, Uniprocessor FreeProduct type:ServerProduct version:5.2Service pack:

6、0Kernel build number:3790Registered organization: .Registered owner:Install date:Adam2003-5-2, 1:18:14Activation status:ActivatedSystem root:C:WINDOWSProcessors:1Processor speed:1.0 GHzProcessor type:x86 Family 6 Model 11 Stepping 1, GenuineIntelPhysical memory:256 MBHotFixes:Q147222: No Description

7、 适用版本：All备注：三.帐号和口令帐号检查请区分独立服务器和属于域的服务器：在独立服务器上，可以直接检查本地 的策略和配置；在属于域的服务器上，请检查域控制器上对计算机的域管理策略。属于域的服务器的检查： 如果服务器属于某个域， 在域控制器（DC上起用的组策略将 覆盖本地的安全策略设置，请首先检查域控制器（DC上的组策略，操作是：开始 |程序|管理工具|AD用户和计算机，点击域，右键选属性，组策略，编辑。编号：Windows-03001名称：口令复杂度检查说明：对主机或域上用户强制进行口令复杂度检查检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：密码必须符合复杂

8、性要求检查风险（对系统的影响，请具体描述）：无结果分析方法：如果该选项为 Enable则表示已经打开适用版本：Windows 2000及以上版本备注：在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析编号：Win dows-03002名称：是否有口令最短口令长度要求说明:对主机或域上用户是否要求最短口令检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略： 密码长度最小值检查风险（对系统的影响，请具体描述）：无结果分析方法：默认值应该为0，表示无最短口令长度要求 推荐值为7适用版本：Windows 2000及以上版本备注：在域中可能无法确定是哪个组策

9、略在生效，可以执行Gpresult来进行分析编号：Win dows-03003名称：是否有密码过期策略说明：密码过期策略包括密码最长存留期和最短存留期，最长存留期疋指密码在多久后过期，最短存留期是指在多久后才可以修改密码检查方法一：开始I程序I管理工具I本地安全设置I安全设置I帐户策略I密码策略：#密码最长存留期，以天为单位，MAXDA丫天后密码过期，缺省为 42天（建议不超过 42天）#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为 0 （建议17天）检查风险（对系统的影响，请具体描述）：无结果分析方法：根据客户网络的特定情况，确定密码最长存留期和最短存留期，作为互联网

10、服务器可以适当延长“最长密码存留期”，并可以设置“最短密码存留期”为0。作为内部网主机，建议使用默认值。 适用版本：Windows 2000及以上版本备注： 可以询问客户管理员进行相关设置。编号：Windows-03004名称：帐户锁定策略检查说明：对主机或域上帐户检查帐号锁定策略锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略：帐户锁定计数器：（建议为30分钟）帐户锁定时间：（建议为30分钟）帐户锁定阀值：（建议 5次）检查风险（对系统的影响，请具体描述）：无结果分析方法：根据客户网络的特定情况，确定帐户锁定策略，作为内

11、部网主机，建议使用推荐值； 作为互联网服务器建议不要设置该值，因为设置该值可能导致一些服务的拒绝服务。适用版本：Windows 2000及以上版本备注：编号：Windows-03005名称：检查Guest帐号说明：Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统 检查方法：net user guest检查风险（对系统的影响，请具体描述）：无结果分析方法:C:net user guestUser nameGuestFull NameCommentBuilt-in account for guest access to the computer/domainUser

12、s commentCountry code000 (System Default)Account activeNoAccount expiresNeverPassword last set2003/5/11下午10:47Password expiresNeverPassword changeable2003/5/11下午10:47Password requiredNoUser may change passwordNoNeverWorkstations allowed AllLogon scriptUser profileHome directoryLast logonLogon hours

13、allowed AllLocal Group Memberships *GuestsGlobal Group memberships *NoneThe command completed successfully.适用版本:All备注：编号：Windows-03006名称：系统是否使用默认管理员帐号说明：默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。检查方法：net user检查风险（对系统的影响，请具体描述）：无结果分析方法：查看用户列表中是否存在Admi ni strator帐号适用版本：All备注：编号：Windows-03007名称：是否存在可疑帐号说明：查

14、看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。 检查方法：net user检查风险（对系统的影响，请具体描述）：可能删除系统中重要用户导致某些应用无法正常使用，建议在删除前将可以帐号禁用，禁用方法：net user user name /active:no结果分析方法：从列表中找寻是否存在流行黑客软件所创建的帐号，并询问客户管理员。发现可疑帐号后执行net user user name，查看帐号相关信息适用版本：All备注：编号：Win dows-03008名称：检查系统中是否存在脆弱口令说明：系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。检查方法：安装L

15、Opht crack4 进行检查检查风险（对系统的影响，请具体描述）：安装该软件需得到客户管理员许可，执行该软件可能导致系统蓝屏。结果分析方法:j Hsstake LL4 - Ljntftlsdl-JO XRod/通过简单测试可以获得脆弱口令帐号列表。适用版本:All备注:四. 网络与服务1%Is Mjwi jUJjl. 5rw4rMi Heb圏 w； W | Z:TCP :10:0LISTENINGTCP :300:0LISTENINGTCP :300:0LISTENINGTCP 127.0.0.

16、1:300:0LISTENINGTCP :300:0LISTENINGUDP :445UDP :500UDP :1026UDP :3004UDP :3007UDP :4500UDP :123UDP :3005UDP :15609适用版本:All备注：编号：Windows-04002名称：网络流量信息说明得到网络流量信息检查方法：n etstat s检查风险（对系统的影响，请具体描述）：无结果分析方法：C:ne

17、tstat - sIPv4 StatisticsPackets Received= 0Received Header Errors=0Received Address Errors= 0Datagrams Forwarded=0Unknown Protocols Received = 0Received Packets Discarded = 0Received Packets Delivered = 0Output Requests= 0Routing Discards= 0Discarded Output Packets= 0Output Packet No Route= 0Reassem

18、bly Required=0Reassembly Successful=0Reassembly Failures=0Datagrams Successfully Fragmented =0Datagrams Failing Fragmentation =0Fragments Created=0ICMPv4 StatisticsReceivedSentMessages00Errors00Destination Unreachable 00Time Exceeded00Parameter Problems00Source Quenches00Redirects00Echos00Echo Repli

19、es00Timestamps00Timestamp Replies00Address Masks00Address Mask Replies 00TCP Statistics for IPv4Active Opens=0Passive Opens=0Failed Connection Attempts=0Reset Connections=0Current Connections=0Segments Received=0Segments Sent=0Segments Retransmitted=0UDP Statistics for IPv4Datagrams Received = 0No P

20、orts= 0Receive Errors= 0Datagrams Sent= 0适用版本：All|备注：各版本 Windows Server netstat的不同可能导致结果不一致，在Windows 2003 中增加了 ICMP检查风险（对系统的影响，请具体描述）：信息。编号：Win dows-04003名称：端口、进程对应信息检查说明：检查主机端口、进程对应信息检查方法：Fporthttp:/ Proto PathPid400Processsvchost-135 TCPC:WINNTsystem32svchost.exe8System- 139TCP8System- 445TCP8Syst

21、em- 1028 TCP872 rsvp- 1047 TCPC:WINNTSystem32rsvp.exe624 WinMgmt- 1048 TCP C:WINNTSystem32WBEMWinMgmt.exe624 WinMgmt- 1049 TCP C:WINNTSystem32WBEMWinMgmt.exe540 inetinfo- 1054 TCPC:WINNTSystem32inetsrvinetinfo.exe1616 msdtc- 2692 TCPC:WINNTSystem32msdtc.exe1616 msdtc- 3372 TCPC:WINNTSystem32msdtc.ex

22、e8System-3778 TCP400 svchost-135 UDPC:WINNTsystem32svchost.exe8System-137UDP8System-138UDP8System-445UDP256 lsass-500UDPC:WINNTsystem32lsass.exe244 services-1029 UDPC:WINNTsystem32services.exe540 inetinfo- 3456 UDPC:WINNTSystem32inetsrvinetinfo.exe适用版本:Windows 2000及以下版本备注：在 Windows 2003中Fport无法执行，可以

23、使用netstat - ano查看端口对应的PID，然后结合04004的检查结果进行整理。编号：Windows-04004名称：主机进程信息检查说明：查看主机进程信息检查方法pv - ehttp:/ - ePROCESSPID PRIOPATHsmss.exe456 NormalC:WINDOWSSystem32smss.execsrss.exe504 NormalC:WINDOWSsystem32csrss.exewinlogon.exe528 HighC:WINDOWSsystem32winlogon.exeservices.exe572 NormalC:WINDOWSsystem32se

24、rvices.exelsass.exe584 NormalC:WINDOWSsystem32lsass.exesvchost.exe772 NormalC:WINDOWSsystem32svchost.exesvchost.exe824 NormalC:WINDOWSSystem32svchost.exesvchost.exe968 NormalC:WINDOWSsystem32svchost.exesvchost.exe984 NormalC:WINDOWSsystem32svchost.exesvchost.exe1016 NormalC:WINDOWSsystem32svchost.ex

25、espoolsv.exe1176 NormalC:WINDOWSsystem32spoolsv.exemsdtc.exe1232 Normal C:WINDOWSsystem32msdtc.exealg.exe1328 Normal C:WINDOWSSystem32alg.exeAti2evxx.exe1340 NormalC:WINDOWSsystem32Ati2evxx.exesvchost.exe1360 NormalC:WINDOWSSystem32svchost.exehibserv.exe1412 Normal C:PROGRA1CompaqCOMPAQ1hibserv.exes

26、vchost.exe1460 NormalC:WINDOWSsystem32svchost.exesvchost.exe1508 NormalC:WINDOWSSystem32svchost.exeDfssvc.exe1616 Normal C:WINDOWSsystem32Dfssvc.exeExplorer.EXE204 NormalC:WINDOWSExplorer.EXEatiptaxx.exe356 NormalC:WINDOWSsystem32atiptaxx.exehkss.exe364 NormalC:Program FilesCompaqHotkey Softwarehkss

27、.exeMsgPlus.exe372 NormalC:Program FilesMessenger Plus! 2MsgPlus.execpqek.exe380 Normal C:Program FilesCompaqCompaq EAB Softwarecpqek.exedaemon.exe388 NormalC:Program FilesD-Toolsdaemon.exectfmon.exe428 NormalC:WINDOWSsystem32ctfmon.exeOUTLOOK.EXE508 Normal C:Program FilesMicrosoft OfficeOffice10OUT

28、LOOK.EXEwmiprvse.exe1444 Normal C:WINDOWSsystem32wbemwmiprvse.exetotalcmd.exe2492 Normald:toolswincmdtotalcmd.exemsmsgs.exe3012 Normal C:Program FilesMessengermsmsgs.execonime.exe2700 NormalC:WINDOWSsystem32conime.exe适用版本：All备注：net start检查风险(对系统的影响，请具体描述)：无结果分析方法：C:net startThese Windows services ar

29、e started:AlerterApplication Layer Gateway ServiceAti HotKey PollerAutomatic UpdatesBackground Intelligent Transfer ServiceCOM+ Event SystemComputer BrowserCryptographic ServicesDHCP ClientDistributed File SystemDistributed Link Tracking ClientDistributed Transaction CoordinatorDNS ClientError Repor

30、ting ServiceEvent LogHelp and SupportHibernationInfrared MonitorInternet Connection Firewall (ICF) / Internet Connection Sharing (ICS)IPSEC ServicesNetwork ConnectionsNetwork Location Awareness (NLA)Plug and PlayPrint SpoolerProtected StorageRemote Access Auto Connection ManagerRemote Access Connect

31、ion ManagerRemote Procedure Call (RPC)Remote RegistrySecondary LogonSecurity Accounts ManagerServerShell Hardware DetectionSystem Event NotificationTask SchedulerTCP/IP NetBIOS HelperTelephonyTerminal ServicesWindows AudioWindows Management InstrumentationWindows TimeWireless ConfigurationWorkstatio

32、n适用版本：All备注：编号：Windows-04006名称：查看主机开放的共享j说明：查看主机是否开放了共享或管理共享未关闭。检查方法：net share检查风险（对系统的影响，请具体描述）：无结果分析方法：D: net shareShare n ame ResourceRemarkIPC$Remote IPC适用版本：All备注：编号：Win dows-04007名称：检查主机端口限制信息说明：检查主机是否实施了端口限制通常的方法是主机受防火墙保护或在主机上实施了相关的措施进行端口限制。检查方法：一般的方法为询问管理员或从外部telnet连接主机已开放端口检查风险（对系统的影响，请具体描述

33、）：无结果分析方法：无适用版本：All备注：五. 文件系统编号：Windows-05001名称：查看主机磁盘分区类型说明：服务器应使用具有安全特性的NTFS格式，而不应该使用 FAT或FAT32分区。检查方法：开始|管理工具|计算机管理|磁盘管理检查风险（对系统的影响，请具体描述）：无结果分析方法：适用版本：Windows 2000及以上版本备注：编号：Windows-05002名称：检查特定文件的文件权限说明：对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。检查方法：cacls file name检查风险（对系统的影响，请具体描述）：无 结果分析方法：C:cacls %system

34、root%system32cmd.exe C:WINDOWSsystem32cmd.exe BUILTINGuests:NNT AUTHORITYINTERACTIVE:R NT AUTHORITYSERVICE:R BUILTINAdmi nistrators:F NT AUTHORITYSYSTEM:F BUILTINAdmi nistrators:F HEAVENTel netClie nts:R 适用版本：All （仅适用于NTFS分区） 备注： 文件列表包括：%systemroot%system32regsvr32.exe, %systemroot%system32ldifde.ex

35、e, %systemroot%system32tftp.exe, %systemroot%system32rexec.exe, %systemroot%system32nslookup.exe, %systemroot%system32tracert.exe, %systemroot%system32netstat.exe, %systemroot%, %systemroot%regedit.exe, %systemroot%system32regedt32.exe, %systemroot%system32debug.exe, %systemroot%system32rdisk.exe, %

36、systemroot%system32nbtstat.exe, %systemroot%system32secfixup.exe, %systemroot%system32rcp.exe, %systemroot%system32ipc on fig.exe, %systemroot%system32syskey.exe, %systemroot%system32ru non ce.exe, %systemroot%system32qbasic.exe, %systemroot%system32atsvc.exe, %systemroot%system32Rsh.exe, %systemroo

37、t%system32os2.exe, %systemroot%system32posix.exe, %systemroot%system32fi nger.exe, %systemroot%system32at.exe, %systemroot%system32route.exe %systemroot%system32pi ng.exe, %systemroot%system32edli n.exe, %systemroot%system32arp.exe,%systemroot%system32tel net.exe , %systemroot%system32ftp.exe, %syst

38、emroot%system32net1.exe, %systemroot%system32net.exe, %systemroot%system32cscript.exe, %systemroot%system32Wscript.exe, %systemroot%system32xcopy.exe, %systemroot%system32cmd.exe.编号：_Win dows-05003名称：检查特定目录的权限j说明：在检查中我们一般检查各个磁盘根目录权限、Temp目录权限检查方法：cacls 目录名检查风险（对系统的影响，请具体描述）：无结果分析方法：d: BUILTINGuests:(

39、OI)(CI)NEveryo ne:(OI)(CI)F适用版本：All （仅适用于NTFS分区）备注：如修改权限需与管理员进行沟通，因为设置根目录权限后以后新建目录都会积存该权限，可能导致IIS访问需要用户名，此时对新建的目录重新设置权限即可。六日志审核编号：Windows-06001名称：检查审核情况说明：检查主机的审核情况检查方法：开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略检查风险（对系统的影响，请具体描述）：无结果分析方法：结果分析方法:结果分析方法:编号：Win dows-06002说明：检查系统日志大小、覆盖天数 _检查方法：开始|运行|ev

40、entvwr|右键系统 检查风险（对系统的影响，请具体描述）名称：检查系统事件相关信息推荐值如上图所示适用版本：Windows 2000及以上版本备注：结果分析方法:4斗|W|圄Size:Created-ModifiedAccessed:d那KICancel 1pplyFileAction yiwjApplication Securty SystemGeneral FiUciRi$play rams:Log namg;256.0 KE (26144 bytes) 20035月 2B at50t59 2003年明 11 日 2310S53 20035116 2310B.58Log $i 盘Max

41、inuin log size:163S4 KBWhen naimum log size is reached:C Overwrte events needed 厂 Oeiwrite ewnk Md讲 than d田 Event Viewer匸I詢LogJ旦X5i?erds1.0 MB;320.0 KB256.0 KBEvent Viewer (Loc.irjUsiig lo-speed correction结果分析方法:增大最大日志大小，不允许覆盖。如果主机为In ter net 服务器，建议设置为“覆盖早于30天”适用版本：All备注：编号：Win dows-06003说明：检查应用日志大小

42、、覆盖天数检查方法：开始|运行|eventvwr|右键应用检查风险（对系统的影响，请具体描述）名称：检查应用事件相关信息结果分析方法:4斗|W|圄.irLog涯d那KICancel 1pply名称：检查安全事件相关信息Si2e.1.0MB(b048,57ebjJtes)20口 拜 5月 2 日 gtsotseMlodified20035116 Q23;D4Accessed:2OT瞬明 11 日 0:23:04增大最大日志大小，不允许覆盖。如果主机为In ter net 服务器，建议设置为“覆盖早于30天”适用版本：All备注：编号：Win dows-06004说明：检查安全日志大小、覆盖天数检

43、查方法：File ActionApplication Security SystemEvent Viewer厂 Usirg a low-speftd conrectionApplkation Properties?l xJGeneral | FiUciRisplay rame:|.4pplicalionnamg;| C： Wl TJ 3 0WS system32ccnfigAppEvient-E /tMaximum log sizc J 3制 弓 KBWhenlog size is reached:C Overwrte events n&eded厂 Oef1v!ite events older

44、 than* iDo not cveriAMhe sv*nl j(dor log manuallyHestore Defaults匸I詢LogJ旦X5i?ertfc1.0 MB;320.0 KB256.0 KBEvent Viewer结果分析方法:开始|运行|eventvwr|右键安全检查风险（对系统的影响，请具体描述） 无结果分析方法:增大最大日志大小，不允许覆盖。如果主机为In ter net 服务器，建议设置为“覆盖早于30天”适用版本：All备注：General FiUciRi$play rams:Log namg;Size:Created-ModifiedAccessed:320.0

45、 KE (327,680 bytes) 20D3年明 2 日 3:50:592003年明 11 日 C;23;04 20035116 0:23:04Log $i 盘Maxinuin log sizec 卩乩前 弓 KBWhenlog size is reached:C Overwrte events n&eded厂 Oef1v!ite events older than* iDo not cveriAMhe sv*nl j(dor log manuallyHestore DefaultsSecurity Properties?l xJ田 Event V匸I詢LogJ旦X5i?erds1.0 M

46、B;320.0 KB256.0 KB側 Event Viewer (LocApplication Securty SystemUsirig a low-spee：d conrectionEvtd那结果分析方法:七.安全增强性编号：Windows-07001名称：保护注册表，防止匿名访问说明：默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下Windows 2000 注册表编辑工具支持远程访问。检查方法：开始|运行|regedt32|转到 HKLM SYSTEMCurrentControlSetControlSecurePipeServerswinreg|安全|权限检查风险（对系统的影响，请具体描述）：该键权限应为管理员完全控制，其他用户不允许访问该键适用版本:结果分析方法：推荐启用All备